Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

msrc логотип

CVE-2018-8539

Опубликовано: 13 нояб. 2018
Источник: msrc
EPSS Средний

Уязвимость удаленного выполнения кода в Microsoft Word из-за некорректной обработки объектов в памяти программным обеспечением

Описание

Злоумышленник, успешно использовавший эту уязвимость, способен использовать специально созданный файл для выполнения действий в контексте безопасности текущего пользователя. Например, такой файл сможет действовать от имени вошедшего пользователя с теми же правами.

Условия эксплуатации

Чтобы воспользоваться уязвимостью, пользователь должен открыть специально созданный файл с уязвимой версией программного обеспечения Microsoft Word.

  • В сценарии атаки через электронную почту злоумышленник способен использовать эту уязвимость, отправив специально созданный файл пользователю и убедив его открыть его.

  • В сценарии веб-атаки злоумышленник может разместить специально созданный файл на сайте (или использовать скомпрометированный сайт, принимающий или хранящий пользовательский контент), который предназначен для эксплуатации уязвимости. Однако злоумышленник не имеет возможности принудить пользователя посетить сайт. Вместо этого злоумышленник вынужден убедить пользователя нажать на ссылку, обычно через приманку в электронном письме или сообщении в мессенджере, а затем открыть специально созданный файл.

Решение

Обновление безопасности устраняет уязвимость, корректируя обработку файлов в памяти программным обеспечением Microsoft Word.

Обновления

ПродуктСтатьяОбновление
Microsoft SharePoint Server 2010 Service Pack 2
4461520
Security Update
Microsoft Office 2010 Service Pack 2 (32-bit editions)
3114565
Security Update
Microsoft Office 2010 Service Pack 2 (64-bit editions)
3114565
Security Update
Microsoft Office Web Apps 2010 Service Pack 2
4461527
Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

No

Exploited

No

Latest Software Release

N/A

Older Software Release

Exploitation More Likely

DOS

N/A

EPSS

Процентиль: 96%
0.27738
Средний

Связанные уязвимости

nvd логотип

CVE-2018-8539

CVSS3: 7.8
nvd
около 7 лет назад

A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory, aka "Microsoft Word Remote Code Execution Vulnerability." This affects Microsoft SharePoint Server, Microsoft Office. This CVE ID is unique from CVE-2018-8573.

github логотип

GHSA-x83v-fp5h-5v3g

CVSS3: 7.8
github
больше 3 лет назад

A remote code execution vulnerability exists in Microsoft Word software when it fails to properly handle objects in memory, aka "Microsoft Word Remote Code Execution Vulnerability." This affects Microsoft SharePoint Server, Microsoft Office. This CVE ID is unique from CVE-2018-8573.

fstec логотип

BDU:2018-01405

CVSS3: 4.2
fstec
около 7 лет назад

Уязвимость текстового редактора Microsoft Word, связанная с ошибками обработки объектов в памяти, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 96%
0.27738
Средний